Principais Técnicas de Segurança a Serem Aplicadas

em Cloud Computing

Ricardo Peres¹

1Diretoria de Informática – Universidade Nove de Julho (UNINOVE)

São Paulo – SP– Brasil

ricardo.peres2013@gmail.com

Abstract. Setting a visual guide showing key security techniques, and the bestway to apply. Based on studies in security for cloud computing, we find thatmost companies do not properly apply the tools available in the market for thesecurity. Therefore we will provide a visual guide to the main techniquesavailable in the market.

Keywords. Cloud Computing, Firewall, Route.

Resumo. Definir um guia visual mostrando as principais técnicas desegurança, e a melhor forma de aplicação. Com base nos estudos emsegurança para cloud computing, constatamos que a maioria das empresasnão aplica corretamente as ferramentas disponíveis no mercado para asegurança. Sendo assim iremos disponibilizar um guia visual com asprincipais técnicas disponíveis no mercado.

Palavras-chave: Guia Visual, Computação na Nuvem, Ferramentas.

1. Introdução

A computação em nuvem está mudando a forma como as indústrias e as empresas

fazem seus negócios em que os recursos dinamicamente escaláveis e virtualizados são

fornecidos como um serviço através da Internet. Este modelo cria uma nova

oportunidade para as empresas. (X. XU, 2012).

A nuvem é uma metáfora para a Internet, com base em como ele é representado nos

diagramas de rede de computadores, e é uma abstração para a infra-estrutura de TI

complexa esconde É um estilo de computação em que as capacidades de TI

relacionados são fornecidos "como um serviço", permitindo aos usuários acessar os

serviços com a tecnologia da Internet (ou seja, o Cloud) sem o conhecimento de, com

especialização, ou controle sobre a infra-estrutura tecnológica que os suporta

(MIRASHE e KALYANKAR, 2010).

A sociedade está no meio de uma revolução em termos de tecnologias de informação,

que dá pelo nome de Cloud Computing. Como efeito, mais do que uma nova tecnologia

ou um novo modelo de computação, pode-se considerar que é mais um novo modelo de

negócio. Apesar da aparentemente boa receptividade com que as empresas estão a

encarar este novo modelo, são freqüentemente apontados como principais entraves a sua

implementação, os receios em termos de segurança, legalidade e privacidade da

informação (LUÍS e MENDES, 2012).

Já segundo o Mell, P., Grance apud (National Institute of Standards and Technology,

2011), Cloud Computing é um modelo que permite o acesso em rede onipresente e

adequado, a um conjunto partilhado de recursos computacionais configuráveis (por

exemplo, redes, servidores, armazenamento, aplicações e serviços) que podem ser

rapidamente fornecidos com um mínimo esforço de gestão ou de interação com o

fornecedor do serviço. Este modelo de Cloud Computing é composto por cinco

características essenciais, três tipos de serviço, e quatro modelos de implementação

(MELL, P., GRANCE, T., 2011).

Sendo assim, este trabalho visa definir um guia visual mostrando as principais técnicas

de segurança e a melhor forma de aplicação.

2. Referencial teórico

A Figura 1 apresenta uma visão, sob a ótica da organização lógica da infraestrutura das

redes de computadores, do acesso aos recursos computacionais fornecidos por uma

nuvem computacional do tipo privado. A figura 2 mostra as aplicações das técnicas de

segurança em um datacenter.

Figura 1 – Visão de acesso aos recursos da Nuvem por parte de Usuários e

Provedor.

As técnicas de segurança podem ser divididas por categorias: DataCenter e Segurança

de dados.

A segurança de dados está relacionada à proteção dos dados com referência à

confidencialidade, disponibilidade e integridade. Com base nesses conceitos, é possível

destacar as seguintes subcategorias de mecanismos de segurança de dados:

Criptografia: trata-se de um mecanismo essencial para a proteção de dados sigilosos

através de técnicas de cifragem (MUSTHALER, 2009), largamente empregado em

serviços e requerido por padrões legais e de mercado (YAN, RONG & ZHAO, 2009);

Redundância: corresponde a um mecanismo básico para evitar a perda de dados e

garantir a disponibilidade de serviços. Para esse fim, ao menos as informações críticas

de negócio devem ser protegidas em termos de integridade e disponibilidade (TECH,

2010);

Descarte ou remoção dos dados: deve ser completo e definitivo, ao contrário da

maioria das técnicas disponíveis (por exemplo, Ext3, NTFS), que apenas removem as

entradas dos índices do arquivo na tabela de alocação do sistema de arquivos

(DORION, 2010). Resquícios de dados podem constituir um sério problema de

segurança caso as informações sejam sigilosas.

Segurança do Ambiente

O ambiente Cloud é composto por computadores, sistemas operacionais, aplicativos e

serviços, redes, equipamentos de operações e monitoramento, hardware especializado.

O centro de operações físico que alojam os serviços deve ser protegido contra danos

mal-intencionados e acidentais. Para obter uma defesa profunda, reduzindo o risco de

que a falha de qualquer mecanismo de segurança comprometa a segurança de todo o

ambiente. (Windows Azure, 2013).

• Roteadores de filtragem: os roteadores de filtragem rejeitam as tentativas de

comunicação entre endereços e portas não configuradas como permitidos. Isso ajuda a

evitar ataques comuns que usam “drones” ou “zombies” para procurar servidores

vulneráveis. Embora sejam relativamente fáceis de bloquear, esses tipos de ataques

continuam a ser um método favorito de invasores mal-intencionados à procura de

vulnerabilidades. Os roteadores de filtragem também dão suporte à configuração de

serviços back-end para que fiquem acessíveis apenas de seus front-ends

correspondentes.

• Firewalls: os firewalls restringem a comunicação de dados para portas, protocolos e

endereços IP de destino (e origem) conhecidos e autorizados. (GTA UFRJ).

• Proteção criptográfica de mensagens: o TLS com chaves criptográficas de pelo

menos 128 bits é usado para proteger as mensagens de controle enviadas entre

datacenters e entre clusters de um determinado datacenter. Os clientes têm a opção de

habilitar a criptografia para o tráfego entre usuários finais e VMs de clientes.

(CERT.BR)

• Gerenciamento de patches de segurança de software: o gerenciamento de patches de

segurança é uma parte integrante de operações para ajudar a proteger sistemas contra

vulnerabilidades conhecidas. O sistema de implantação integrado para gerenciar a

distribuição e a instalação de patches de segurança para diferentes sistemas operacionais

(Windows, Mac, Linux). (SYMANTEC).

• Monitoramento: a segurança é monitorada com a ajuda de sistemas centralizados de

monitoramento, correlação e análise que gerenciam uma grande quantidade de

informações geradas por dispositivos dentro do ambiente, fornecendo monitoramento e

alerta pertinentes e oportuno. (ASCENTY)

• Segmentação de rede: a segmentação de rede usa uma série de tecnologias para criar

barreiras para tráfego não autorizado em junções-chave para dentro dos datacenters,

incluindo firewalls, caixas de conversão de endereços de rede (balanceadores de carga)

e roteadores de filtragem. A rede back-end é composta de redes locais particionadas

para servidores Web e de aplicativos, armazenamento de dados e administração

centralizada. Esses servidores são agrupados em segmentos de endereço particular

protegidos por roteadores de filtragem. (PAULO COELHO, 2005).

• IDS – Intrusion Detection Systems: O sistema de detecção de intrusão monitora o

tráfego da rede suspeito ou malicioso e alerta o administrador da rede, além de tomar

ações proativas pré-definidos para responder à ameaça. (NETSECURITY, 2013).

• HoneyPot: São computadores que simula um servidor real e está disponível para rede

para sofrer ataques. Ao sofrer um ataque o administrador da rede é alertado e o mesmo

pode monitorar o ataque para saber os pontos que precisam ser melhorados na rede.

(CERT.BR).

Figura 2 – Desenho da Segurança Física da Rede nas Nuvens

3. Metodologia

Como procedimento metodológico adotado, este estudo foi construído através do

levantamento de dados encontrados na literatura já existente, onde foi realizada uma

pesquisa exploratória sobre técnicas de segurança para Clould computing e assim

ganhar uma visão geral do assunto e proporcionar maiores informações com um alto

valor sobre essa nova tecnologia.

O estudo teve inicio com uma avaliação preliminar aleatória por cada integrante da

equipe em sites de internet, em artigos originais aprovados sobre o assunto, onde todas

as informações de importância para o objetivo dessa pesquisa eram correlacionadas

comparando as ideias, e após esta devida analise era posteriormente compilado num

documento Word.

Após esta fase, alem da continuidade do método Pesquisa exploratório, foi agregado ao

estudo o método pesquisa-ação, através do Projeto DATA CENTER, este que foi

elaborado e concluído no segundo semestre de 2013 na graduação em sistemas de

informação na faculdade Universidade Nove de Julho, na aula Segurança e auditoria e

de sistemas de informação.

Atuando sobre o Projeto DATA CENTER na aula citada anteriormente, neste foi

efetuado as principais técnicas de segurança da informação, que ao final foi elaborado

um desenho gráfico através da ferramenta Microsoft Visual Studio demonstrando e

especificando toda parte de infraestrutura de uma empresa “X” em segurança da

informação baseado em Clould computing, definindo todos os componentes e técnicas

(criptografia, Firewalls, Segmentação de rede, ids e etc..), com isso conseguimos

aprimorar nossos conhecimento e aplicar neste artigo.

4. Resultados

Compreendemos que é possível manter a segurança em Clould Computing, aplicando

técnicas de segurança existente no mercado. Mais antes de aplica-las é necessário

conhecer ferramentas que auxiliam a segurança e integridade dos dados.

Para poder garantir um bom funcionamento é preciso saber investir na equipe

responsável pela segurança do Data Center, poucas empresas pensam nisso e geralmente

o fracasso é causado por algum funcionário da empresa, que muitas vezes se esquece de

suas responsabilidades e acaba prejudicando a empresa como um todo.

Com a utilização do nosso guia visual fica muito mais pratico a utilização da Clould

Computing seguindo normais de segurança existente no mercado e assim garantindo a

segurança dos dados na nuvem.

Mais sabemos também que é preciso sempre renovar, pois a tecnologia sempre muda

principalmente a forma de ataque.

5. Considerações finais

Nosso objetivo foi desenvolver um guia visual pratico para as empresas de Data Center,

visando garantir a segurança dos dados em nuvem, criamos um site que pode ser

utilizado pelas empresas, mostrando técnicas a serem aplicadas e assim comprovar a

importância do nosso estudo, sendo assim nosso objetivo foi atingido.

Esse guia visual foi elaborado com base em grandes empresas de TI reforçando ainda

mais o nosso objetivo.

O guia visual desenvolvido pode ser utilizado por todas as empresas, que buscam

melhoria na segurança em clould computing, através do site:

http://seguranca-em-cloud.webnode.com.

REFERÊNCIAS

X. XU. Robotics and Computer-Integrated Manufacturing, 2012. Disponível em:

<http://linkinghub.elsevier.com/retrieve/pii/S0736584511000949> Acesso em 25

outubro 2013.

Mell, Peter & Grace, Tim: The NIST Definition of Cloud Computing. National Institute

of Standards and Technology, 2011. Disponível em:

<http://csrc.nist.gov/publications/nistpubs/800-145/SP800-145.pdf> Acesso em 25

outubro 2013.

A. Luís, J. Mendes: Cloud Computing Segurança e Privacidade da Informação na

Nuvem, 2012, disponível em:

<http://papers.ssrn.com/sol3/papers.cfm?abstract_id=2118225> Acesso em 25 outubro

2013.

MU STHALER, L.: Cost-effective Data Encryption in the Cloud, 2009. Disponível em:

<http://www.networkworld.com/newsletters/2009/121409bestpractices.html> Acesso

em 01 novembro 2013.

YA N, L.; RONG, C.; ZHAO, G.: Strengthen Cloud Computing Security with Federal

Identity Management Using Hierarchical Identity-based Cryptography, in Cloud

Computing, Springer, 2009, pp. 167-77.

TE CH, C.: Examining Redundancy in the Data Center Powered by the Cloud and

Disaster Recovery, 2010. Disponível em:

<http://consonustech.hubpages.com/hub/Examining- Redundancy-in-the-Data-Center>

Acesso em 01 novembro 2013.

DO RION, P.: Data Destruction Services: When Data Deletion Is Not Enough, 2010.

Disponível em: <http://searchdatabackup.techtarget.com/tip/Data-destruction- services-

When-data-deletion-is-not-enough> Acesso em 01 novembro 2013.

WINDOWS AZURE: Visão geral técnica dos recursos de segurança da Plataforma

Windows Azure, 2013. Disponível em <http://www.windowsazure.com/pt-

br/support/legal/security-overview> Acesso em 08 novembro 2013.

UNIVERSIDADE FEDERAL DO RIO DE JANEIRO: Funcionamento de firewalls,

2013. Disponível em <http://www.gta.ufrj.br/grad/00_2/bruno/newpage2.htm> Acesso

em 08 novembro 2013.

CENTRO DE ESTUDOS, RESPOSTA E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL: Cartilha de Segurança para Internet, 2013. Disponível em

< http://cartilha.cert.br/criptografia> Acesso em 08 novembro 2013.

SYMANTEC: Altiris Patch Management Solution. Disponível em

< http://www.symantec.com/pt/br/patch-management-solution> Acesso em 08

novembro 2013.

ASCENTY: Gestão e Monitoramento. Disponível em

<http://www.ascenty.com/conteudos/ver/6?gclid=CN7k3byj1roCFdJj7Aod22YAFw>

Acesso em 08 novembro 2013.

PAULO COELHO: Redes Locais Virtuais - VLANs, 2005. Disponível em: <

http://www.estgv.ipv.pt/PaginasPessoais/pcoelho/rc/Material%20RC/vlans.pdf >

Acesso em 08 novembro 2013.

CISCO: Plataforma de Infraestrutura VCE VBlock. Disponível em

<http://www.cisco.com/web/BR/solucoes/datacenter/private_cloud.html#~Indepth>

Acesso em 08 novembro 2013.

NETSECURITY: Introduction To Intrusion Detection Systems (IDS). Disponível em

<http://netsecurity.about.com/cs/hackertools/a/aa030504.htm> Acesso em 15 novembro

2013.

CENTRO DE ESTUDOS, RESPOSTAS E TRATAMENTO DE INCIDENTES DE

SEGURANÇA NO BRASIL: Honeypots eHoneynets: Definições e Aplicações.

Disponível em: <http://www.cert.br/docs/whitepapers/honeypots-honeynets> Acessado

em 15 novembro 2013.